OpenForum RSS: Обновление nginx 1.4.4 с устранением&nbsp;&nbsp;уязвимости https://opennet.ru/openforum/vsluhforumID3/92750.html Выпущены внеплановое обновление стабильной ветки http-сервера nginx 1.4.4 (http://mailman.nginx.org/pipermail/nginx-announce/2013/000124.html) и экспериментальный выпуск nginx 1.5.7 (http://mailman.nginx.org/pipermail/nginx-announce/2013/000123.html) в которых устранена уязвимость (http://mailman.nginx.org/pipermail/nginx-announce/2013/000125.html) (CVE-2013-4547), позволяющая обойти ограничения доступа к закрытым областям сайта, при наличии на сервере директорий c именем, заканчивающимся на символ пробела. Проблема выявлена командой Google Security Team и проявляется во всех выпусках начиная с версии 0.8.41.<br><br><br>Суть проблемы сводится к возможности обхода блоков "location" через косвенное обращения к ресурсу с использованием разрешённой директории с пробелом в конце имени. В частности, если на сервере публично доступна директория "foo " и закрыт доступ к директории "protected" с использованием правила "location /protected/ { deny all; }", то получить доступ к содержимому директории "protected" можно отправи Обновление nginx 1.4.4 с устранением уязвимости (пантелей) https://opennet.ru/openforum/vsluhforumID3/92750.html#32 Tue, 04 Nov 2014 11:27:12 GMT Обновить<br> Обновление nginx 1.4.4 с устранением  уязвимости (Xaionaro) https://opennet.ru/openforum/vsluhforumID3/92750.html#31 Fri, 22 Nov 2013 09:58:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; далеко идти не надо - смотри текст новости :). И, IMHO, <br>&gt;&gt;&gt;&gt; каждый кто несмотря на это использует кириллицу, пробелы и прочие гадости <br>&gt;&gt;&gt;&gt; частично сам виноват в последствиях.<br>&gt;&gt;&gt; ТакЪ! ПобедимЪ! нужно запретить кирилицу -- а всех кто ей пользуется растерелять <br>&gt;&gt;&gt; чтобы не мучались. Понапридумывали понимаиишшш всяких букав.<br>&gt;&gt; Их дело. Хотят - пусть мучаются.<br>&gt;&gt; Кстати говоря, я был против введения локализованных доменных имён. Но их тоже <br>&gt;&gt; ввели. Чего уж тут поделать? :) <br>&gt; это был сарказм если чё -- но ты себя не ограничивай пиши <br>&gt; на наши отупнеты транслитом.<br><br>Ненавижу, когда люди пишут транслитом :)<br> Обновление nginx 1.4.4 с устранением  уязвимости (Аноним) https://opennet.ru/openforum/vsluhforumID3/92750.html#30 Fri, 22 Nov 2013 09:36:38 GMT &gt; Как это связано с Логикой?<br><br>Ну вот так. Ты сам полез коррелировать логику с уровнями напряжений. А я намекнул что с ними не все так просто. Скажем как тебе 4B3T? Где пачка из 4 бита за раз конвертится в три трехуровневых состояния :). А один бит при таком кодировании - вообще не существует как состояние линии. Обломись, да? Еще веселее схемы с предысторией :).<br> Обновление nginx 1.4.4 с устранением  уязвимости (Aesthetus Animus) https://opennet.ru/openforum/vsluhforumID3/92750.html#29 Fri, 22 Nov 2013 06:46:01 GMT &gt; не надо меня в словарь тыкать :)<br><br>Я не тычу тебя в словарь, а просто показываю вполне приемлеммое использование кириллицы ;-)<br> Обновление nginx 1.4.4 с устранением  уязвимости (pavel_simple) https://opennet.ru/openforum/vsluhforumID3/92750.html#28 Fri, 22 Nov 2013 03:16:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; в функциональном плане, так и в плане безопасности). И это общеизвестно <br>&gt;&gt;&gt; (а кому не известно, с опытом работы сам поймёт, IMHO). Собственно <br>&gt;&gt;&gt; далеко идти не надо - смотри текст новости :). И, IMHO, <br>&gt;&gt;&gt; каждый кто несмотря на это использует кириллицу, пробелы и прочие гадости <br>&gt;&gt;&gt; частично сам виноват в последствиях.<br>&gt;&gt; ТакЪ! ПобедимЪ! нужно запретить кирилицу -- а всех кто ей пользуется растерелять <br>&gt;&gt; чтобы не мучались. Понапридумывали понимаиишшш всяких букав.<br>&gt; Их дело. Хотят - пусть мучаются.<br>&gt; Кстати говоря, я был против введения локализованных доменных имён. Но их тоже <br>&gt; ввели. Чего уж тут поделать? :) <br><br>это был сарказм если чё -- но ты себя не ограничивай пиши на наши отупнеты транслитом.<br> Обновление nginx 1.4.4 с устранением  уязвимости (pavlinux) https://opennet.ru/openforum/vsluhforumID3/92750.html#27 Thu, 21 Nov 2013 18:59:06 GMT &gt;&gt; Есть высокий потенциал на проводнике и низкий, а 0 и 1 придумали ботаны!<br>&gt; А как насчет дифференциальных линий? У USB например имеет смысл только состояние <br>&gt; 2 проводников сразу. И состояний, очевидно, 4. А есть например Ethernet. <br>&gt; У него так вообще несколько уровней напряжения в проводнике имеется.<br><br>Пля, прикинь а на оптике ваще фотоны летают, с разными длинами волн, и че?! <br>Как это связано с Логикой?<br><br><br> Обновление nginx 1.4.4 с устранением  уязвимости (Xaionaro) https://opennet.ru/openforum/vsluhforumID3/92750.html#26 Thu, 21 Nov 2013 16:59:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Я знаю что такое "моветон", не надо меня в словарь тыкать :) <br>&gt;&gt;&gt; Что в этом плохого?<br>&gt;&gt; Просто на опыте. Использование всякой такой шняги приводит к неожиданным багам (как <br>&gt;&gt; в функциональном плане, так и в плане безопасности). И это общеизвестно <br>&gt;&gt; (а кому не известно, с опытом работы сам поймёт, IMHO). Собственно <br>&gt;&gt; далеко идти не надо - смотри текст новости :). И, IMHO, <br>&gt;&gt; каждый кто несмотря на это использует кириллицу, пробелы и прочие гадости <br>&gt;&gt; частично сам виноват в последствиях.<br>&gt; ТакЪ! ПобедимЪ! нужно запретить кирилицу -- а всех кто ей пользуется растерелять <br>&gt; чтобы не мучались. Понапридумывали понимаиишшш всяких букав.<br><br>Их дело. Хотят - пусть мучаются.<br><br>Кстати говоря, я был против введения локализованных доменных имён. Но их тоже ввели. Чего уж тут поделать? :)<br><br><br> Обновление nginx 1.4.4 с устранением  уязвимости (Sw00p aka Jerom) https://opennet.ru/openforum/vsluhforumID3/92750.html#25 Thu, 21 Nov 2013 12:53:38 GMT ну да собственно да<br><br>location ~ \.php$ {<br>try_files $fastcgi_script_name =404;<br><br>пс: http://habrahabr.ru/post/100961/ предотвращение баги fix cgi path info<br> Обновление nginx 1.4.4 с устранением  уязвимости (pavel_simple) https://opennet.ru/openforum/vsluhforumID3/92750.html#24 Thu, 21 Nov 2013 11:49:38 GMT &gt;&gt;&gt; IMHO, вообще моветон использовать имена файлов с кириллицой, пробелами и прочими приблудами.<br>&gt;&gt; http://ru.wiktionary.org/wiki/моветон <br>&gt; Я знаю что такое "моветон", не надо меня в словарь тыкать :) <br>&gt;&gt; Что в этом плохого?<br>&gt; Просто на опыте. Использование всякой такой шняги приводит к неожиданным багам (как <br>&gt; в функциональном плане, так и в плане безопасности). И это общеизвестно <br>&gt; (а кому не известно, с опытом работы сам поймёт, IMHO). Собственно <br>&gt; далеко идти не надо - смотри текст новости :). И, IMHO, <br>&gt; каждый кто несмотря на это использует кириллицу, пробелы и прочие гадости <br>&gt; частично сам виноват в последствиях.<br><br>ТакЪ! ПобедимЪ! нужно запретить кирилицу -- а всех кто ей пользуется растерелять чтобы не мучались. Понапридумывали понимаиишшш всяких букав.<br><br>Да и китайцев с японцами и арабов до кучи.<br>